Sincronización de Azure AD Connect: Sincronización de Azure AD Connect: Extensiones de directorio

Puede usar extensiones de directorio para ampliar el esquema de Azure Active Directory (Azure AD) con sus propios atributos desde Active Directory local. Esta característica le permite compilar aplicaciones de LOB mediante el consumo de atributos que sigue administrando de forma local. Estos atributos se pueden consumir mediante extensiones. Puede ver los atributos disponibles mediante el Explorador de Microsoft Graph. También puede usar esta característica para crear grupos dinámicos en Azure AD.

En la actualidad, ninguna carga de trabajo de Microsoft 365 consume estos atributos.

Importante

Si ha exportado una configuración que contiene una regla personalizada que se usa para sincronizar los atributos de extensión de directorio e intenta importar esta regla en una instalación nueva o existente de Azure AD Connect, la regla se creará durante la importación, pero los atributos de extensión de directorio no se asignarán. Tendrá que volver a seleccionar los atributos de extensión de directorio y volver a asociarlos a la regla o volver a crear la regla por completo para corregirlo.

Personalización de los atributos que se van a sincronizar con Azure AD

Configure qué atributos adicionales desea sincronizar en la ruta de acceso de configuración personalizada en el Asistente para instalación.

Nota

En versiones de Azure AD Connect anteriores a 1.2.65.0, el cuadro de búsqueda Atributos disponibles distingue mayúsculas de minúsculas.

Asistente para la extensión de esquema

La instalación muestra los atributos siguientes, que son candidatos válidos:

  • Tipos de objetos de usuario y de grupo
  • Atributos de valor único: cadena, booleano, entero, binario
  • Atributos con varios valores: cadena, binario

Nota

No todas las características de Azure Active Directory admiten atributos de extensión con varios valores. Consulte la documentación de la característica en la que planea usar estos atributos para confirmar que se admiten.

La lista de atributos se lee de la memoria caché de esquemas creada durante la instalación de Azure AD Connect. Si ha ampliado el esquema de Active Directory con atributos adicionales, se debe actualizar el esquema para que los nuevos atributos estén visibles.

Un objeto de Azure AD puede tener hasta 100 atributos para las extensiones de directorio. La longitud máxima es de 250 caracteres. Si un valor de atributo es mayor, el motor de sincronización lo trunca.

Cambios de configuración en Azure AD realizados por el asistente

Durante la instalación de Azure AD Connect, se registra una aplicación donde estos atributos estén disponibles. Puede ver esta aplicación en el Portal de Azure. Su nombre es siempre Tenant Schema Extension App.

Aplicación de extensión de esquema

Asegúrese de seleccionar Todas las aplicaciones para ver esta aplicación.

Los atributos tienen el prefijo extensión _{IdDeAplicación}_ . IdDeAplicación tiene el mismo valor en todos los atributos del inquilino de Azure AD. Necesitará este valor para los demás escenarios de este tema.

Visualización de atributos mediante Microsoft Graph API

Estos atributos ya están disponibles a través de Microsoft Graph API, mediante el Explorador de Microsoft Graph.

Nota

En Microsoft Graph API, debe pedir que se devuelvan los atributos. Seleccione los atributos de forma explícita así: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Para más información, consulte Microsoft Graph: Usar parámetros de consulta.

Nota

No se admite la sincronización de valores de atributo desde AADConnect con atributos de extensión que no han sido creados por AADConnect. Si lo hace, pueden producirse problemas de rendimiento y resultados inesperados. Solo se admiten para la sincronización los atributos de extensión creados como se ha mostrado anteriormente.

Uso de los atributos en grupos dinámicos

Uno de los escenarios más útiles consiste en usar estos atributos en grupos dinámicos de seguridad o de Microsoft 365.

  1. Cree un grupo en Azure AD. Asígnele un nombre adecuado y asegúrese de que la opción Tipo de pertenencia está establecida en Usuario dinámico.

    Captura de pantalla con un nuevo grupo

  2. Seleccione Agregar una consulta dinámica. Si examina las propiedades, no verá estos atributos extendidos. Antes debe agregarlos manualmente. Haga clic en Obtener propiedades de extensión personalizadas, escriba el identificador de la aplicación y haga clic en Actualizar propiedades.

    Captura de pantalla en la que se han agregado las extensiones de directorio

  3. Abra la lista desplegable de propiedades y observe que los atributos que ha agregado ahora están visibles.

    Captura de pantalla con los nuevos atributos en la interfaz de usuario

    Complete la expresión para satisfacer sus necesidades. En nuestro ejemplo, la regla se establece en (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") .

  4. Una vez creado el grupo, dé a Azure AD algún tiempo para rellenar los miembros y, a continuación, revíselos.

    Captura de pantalla con miembros en el grupo dinámico

Pasos siguientes

Obtenga más información sobre la configuración de la Sincronización de Azure AD Connect .

Obtenga más información sobre la Integración de las identidades locales con Azure Active Directory.